• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

TODOS LOS WEB¦S ACTUALIZADOS A FRONT PAGE 2000 SON VULNERABLES

escrito por Jose Escribano 5 de diciembre de 1999
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramThreadsBlueskyEmail
340

Todos los usuarios que hayan actualizado sus páginas web a las extensiones de Front Page 2000 habrán dejado su web vulnerable para que sea abierta, modificada, o incluso suprimida por cualquier persona sin necesidad de introducir la password.

Si se realiza una instalación o actualización por defecto de Front Page 2000, todos los webs que se creen con la instalación por defecto serán vulnerables. Cada web Front Page creado con la configuración por defecto asigna los permisos para Front Page de forma idéntica, con una diferencia principal que radica en el nombre de usuario o grupo que posee los derechos de administración.

El problema se puede evidenciar al crear un nuevo web Front Page y asignar la cuenta Test como autor y administrador principal. Tras ello, se abre el web con Front Page 98 y en el menú herramientas, en la opción permisos se visualiza la cuenta MYDOMAINTest como autor principal y administrador. Pero si se visualizan los grupos se encuentran los siguientes como Administradores/Autores :

CREATOR OWNER
MYDOMAINADMINISTRATORS
MYDOMAINAUTHENTICATED USERS

Todo parece normal excepto MYDOMAINAUTHENTICATED USERS. Pero lo m s extra_o es que en el administrador de usuarios para dominios no aparece ningon grupo llamado AUTHENTICATED USERS bajo MYDOMAIN.

Despu’s de estas comprobaciones se puede abrir el web desde Front Page como administrador y observar como lo abre correctamente sin preguntar por el nombre de usuario y password. Esto es de esperar ya que emplea la cuenta de entrada en el sistema para la autentificaci¢n. Si se emplea la cuenta de administrador no habr  ningon problema.

Pero tras esto, se puede crear otra cuenta con cualquier otro nombre, por ejemplo Frontpage. Esta cuenta no tiene por que tener ningon permiso especial. Se tratar  de una cuenta normal que no tiene por que tener permiso para abrir el web Front Page. Si los permisos funcionasen correctamente s¢lo los administradores y MYDOMAINTest deber¡an ser capaces de abrir el web anteriormente creado ya que fue espec¡ficamente configurado para ello. Sorprendentemente al entrar en el sistema como Frontpage se puede llegar a abrir, modificar y borrar todo el web.

Se puede ir incluso m s lejos, si desde cualquier instalaci¢n de Front Page 98 se intenta abrir un web actualizado previamente a Front Page 2000, se puede realizar la acci¢n sin necesidad de introducir ningon tipo de nombre de usuario o password. Adem s una vez que se realiza la conexi¢n se poseen permisos para modificar y borrar todo el web.

La ra¡z del problema radica en la asignaci¢n por defecto del grupo MYDOMAINAuthenticated Users como Autor/Administrador para cualquier tipo de web. Para eliminar efectivamente este grupo como administrador dentro de FrontPage, es necesario crear en el Administrador de Usuarios el grupo AUTHENTICATED USERS. Tras ello, se puede emplear Front Page 98 y eliminar este tipo de usuarios como administradores, ya que de otra forma es totalmente imposible. Tras proceder de esta forma, al abrir el sitio web desde una localizaci¢n diferente se pregunta por el nombre de usuario y password.

M s informaci¢n:

Packetstorm
http://packetstorm.securify.com/9912-exploits/frontpage.2000.txt

Antonio Ropero
antonior@hispasec.com

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
INTERNET EN LA PALMA DE SU MANO
siguiente
COMO FUNCIONA Y QUE DEBE OFRECER EL SOFTWARE PARA COMERCIO ELECTRÓNICO

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano